Une nouvelle variante du ransomware StopCrypt (alias STOP) a été repérée dans la nature, utilisant un processus d’exécution en plusieurs étapes qui implique des codes shellcodes pour échapper aux outils de sécurité.

StopCrypt, également connu sous le nom de STOP Djvu, est le ransomware le plus répandu dont vous entendez rarement parler.

Alors que vous entendez constamment l’ampleur de certaines opérations de ransomware, telles que LockBit, BlackCat et Clop, vous entendez rarement les chercheurs en sécurité discuter de STOP.

En effet, cette opération de ransomware ne cible généralement pas les entreprises mais plutôt les consommateurs, dans l’espoir de générer des dizaines de milliers de petits paiements de rançon de 400 à 1 000 dollars au lieu d’une grande demande de plusieurs millions de dollars.

Le ransomware est généralement distribué via des sites malveillants et ombragés distribuant des ensembles de logiciels publicitaires déguisés en logiciels libres, astuces de jeu et fissures logicielles.

Cependant, lorsque ces programmes sont installés, les utilisateurs sont infectés par divers logiciels malveillants, notamment des chevaux de Troie voleurs de mots de passe et des ransomwares STOP.

Cela conduit les utilisateurs infectés à contacter désespérément des chercheurs en sécurité, des experts en ransomware et notre rubrique de forum STOP ransomware de 807 pages pour essayer de recevoir de l’aide.

Depuis sa sortie initiale en 2018, le chiffreur de ransomware n’a pas beaucoup changé, les nouvelles versions étant principalement publiées pour résoudre les problèmes critiques.

Pour cette raison, lorsqu’une nouvelle version d’ARRÊT est publiée, il convient de la surveiller en raison du grand nombre de personnes qui en seront affectées.

Nouvelle exécution en plusieurs étapes
L’équipe de recherche sur les menaces de SonicWall a découvert une nouvelle variante du ransomware STOP (ils l’appellent StopCrypt) dans la nature qui utilise désormais un mécanisme d’exécution en plusieurs étapes.

Initialement, le logiciel malveillant charge un fichier DLL apparemment sans rapport (msim32.dll), éventuellement comme diversion. Il implémente également une série de boucles de retardement de longue durée qui peuvent aider à contourner les mesures de sécurité liées au temps.

Ensuite, il utilise des appels d’API construits dynamiquement sur la pile pour allouer l’espace mémoire nécessaire aux autorisations de lecture/écriture et d’exécution, ce qui rend la détection plus difficile.

StopCrypt utilise des appels d’API pour diverses opérations, y compris la prise d’instantanés des processus en cours d’exécution pour comprendre l’environnement dans lequel il fonctionne.

L’étape suivante implique l’évidement des processus, où StopCrypt détourne les processus légitimes et injecte sa charge utile pour une exécution discrète en mémoire. Cela se fait par une série d’appels d’API soigneusement orchestrés qui manipulent la mémoire de processus et le flux de contrôle.

Une fois la charge utile finale exécutée, une série d’actions ont lieu pour sécuriser la persistance du ransomware, modifier les listes de contrôle d’accès (ACL) pour refuser aux utilisateurs l’autorisation de supprimer les fichiers et répertoires malveillants importants, et une tâche planifiée est créée pour exécuter la charge utile toutes les cinq minutes.

Tâche planifiée de StopCrypt

Les fichiers sont cryptés et un « .l’extension « msjd » est ajoutée à leurs nouveaux noms. Cependant, il convient de noter qu’il existe des centaines d’extensions liées au ransomware STOP car elles les changent souvent.

Enfin, une demande de rançon nommée  » _readme.txt  » est créé dans chaque dossier affecté, donnant aux victimes des instructions sur le paiement de la rançon pour la récupération des données.

Exemple de demande de rançon

L’évolution de Stop Crypt en une menace plus furtive et plus puissante souligne une tendance troublante de la cybercriminalité.

Bien que les exigences monétaires de StopCrypt ne soient pas élevées et que ses opérateurs n’effectuent pas de vol de données, les dommages qu’il peut causer à de nombreuses personnes pourraient être importants.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *